VU#767506 : Les implémentation... Note

VU#767506 : Les implémentations HTTP/2 sont vulnérables à l'attaque de déni de service "MadeYouReset" via les trames de contrôle HTTP/2

Une vulnérabilité récemment découverte, connue sous le nom de « MadeYouReset » (CVE-2025-8671), affecte de nombreuses implémentations HTTP/2. Cette faille permet des attaques de déni de service (DoS) en exploitant une incohérence dans la façon dont les réinitialisations de flux sont gérées. La vulnérabilité apparaît parce que, tandis que les spécifications HTTP/2 considèrent un flux réinitialisé comme fermé, de nombreuses implémentations de serveur continuent de traiter la requête en interne. Cette disparité signifie qu'un client peut déclencher un nombre illimité de requêtes concurrentes sur une seule connexion. Les attaquants peuvent exploiter cela en envoyant rapidement des trames de réinitialisation, provoquant une épuisement des ressources sur le serveur. L'impact principal est le potentiel pour des attaques de déni de service distribué (DDoS), entraînant une surcharge du serveur ou une épuisement de la mémoire. Bien que HTTP/2 ait un réglage pour le nombre maximal de flux concurrents, les flux de réinitialisation ne sont pas pris en compte dans cette limite. Cette vulnérabilité est similaire à l'attaque « Rapid Reset » (CVE-2023-44487). Plusieurs vendeurs ont publié des correctifs, et les utilisateurs sont conseillés de les appliquer. Le CERT/CC recommande que les vendeurs examinent leurs implémentations HTTP/2 et limitent les RST_STREAM envoyés par le serveur. Des stratégies de mitigation supplémentaires sont disponibles auprès des rapporteurs de la vulnérabilité.